Liberar acesso à sites (SCRIPT IPTABLES)

13. Re: Liberar acesso à sites (SCRIPT IPTABLES)

xstocler
xstocler

(usa Outra)

Enviado em 30/09/2013 - 17:53h

Até então que seu saiba não sei oque pode está bloqueando..
Os usuários que estão com os MAC's liberados conforme está a acl do squid estão conseguindo acessar normalmente.


Mas os demais deveriam está acessando tbm.

os outros sites conforme segue no script iptabless estão funcionando corretamente.
Apenas esse que está dando esse erro.


usando o tracert na minha maquina:


Rastreando a rota para 200.216.216.47 com no máximo 30 saltos

1 1 ms <1 ms <1 ms 10.1.1.250
2 2 ms * * 10.1.1.250
3 * * * Esgotado o tempo limite do pedido.
4 ^C





  


14. Re: Liberar acesso à sites (SCRIPT IPTABLES)

Pedro
px

(usa Debian)

Enviado em 30/09/2013 - 18:18h

Ué nem o tracert alcança?! será que é bloqueio em alguma acl com este ip? muito incomum isto, pois aquelas regras já teriam liberado há tempos o acesso, mas nem o tracert funcionou...


15. Re: Liberar acesso à sites (SCRIPT IPTABLES)

xstocler
xstocler

(usa Outra)

Enviado em 30/09/2013 - 18:32h

Coloquei no script iptabless a seguinte regra:


$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d atendimentovirtual.sistemas.cesan.com.br -p tcp -j ACCEPT


Sem sucesso!


Meu Browser fica da seguinte forma:
[img]http://upimagens.com/image-B9DA_5249EE29.jpg[/img]


16. Re: Liberar acesso à sites (SCRIPT IPTABLES)

xstocler
xstocler

(usa Outra)

Enviado em 01/10/2013 - 13:24h

Alguém teria alguma noção doque poderia ser?

Agradeço pela ajuda!


17. Re: Liberar acesso à sites (SCRIPT IPTABLES)

Ricardo Cardoso
ricardo cardoso

(usa Debian)

Enviado em 01/10/2013 - 15:09h

Amigo esse IP esta correto? tipo estou tentando liberar esse mesmo endereço no meu proxy mas não estou conseguindo. Então fiz um teste em uma máquina que roda fora do proxy direto na net e não dá nada nesse IP ele não está apontando para lugar nenhum e nem mesmo responde a ping.



18. Re: Liberar acesso à sites (SCRIPT IPTABLES)

xstocler
xstocler

(usa Outra)

Enviado em 01/10/2013 - 15:14h

O site da cesan ( http://www.cesan.com.br/?page_id=1165 )
abre uma iframe com o link https://atendimentovirtual.sistemas.cesan.com.br:8443/AtendimentoVirtual/FaturaConsultaForm.jsp


Dei um ping nesse atendimentovirtual.sistemas.cesan.com.br e retornou o ip 200.216.216.47

ja tentei colocar da seguinte forma também;


$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d atendimentovirtual.sistemas.cesan.com.br -p tcp -j ACCEPT


e não funcionou também!


19. Re: Liberar acesso à sites (SCRIPT IPTABLES)

Ricardo Cardoso
ricardo cardoso

(usa Debian)

Enviado em 01/10/2013 - 15:45h

Eu acho que já sei... to sem fazer nada aqui mesmo, então posso copiar esse seu script e rodar ele aqui em uma máquina sem firewall? fica mais fácil para testar.


20. Re: Liberar acesso à sites (SCRIPT IPTABLES)

xstocler
xstocler

(usa Outra)

Enviado em 01/10/2013 - 15:51h

Segue os arquivos

Squid:

#Paginas em portugues de erro
error_directory /usr/share/squid/errors/pt-br

#Configuração de entrada
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl rede-local src 10.1.1.0/24
#Portas permitidas
acl Portas_permitidas port 443 80 21 22 70 210 280 488 591 777 5938 8443
acl CONNECT method CONNECTi


# Regras pessonalizadas
acl macs_liberados arp "/etc/squid/macs-liberados"

http_access allow manager localhost
http_access deny manager

#Bloqueando todas as outras portas
http_access deny !Portas_permitidas
http_access deny CONNECT !Portas_permitidas

#Finalizações
http_access deny !macs_liberados
http_access allow rede-local
http_access allow localhost
http_access deny all

#Porta proxy
#http_port 3128 transparent
http_port 3128
visible_hostname XXXXXX.com.br

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
~



Script iptables

IPTABLES=/sbin/iptables
IP6TABLES=/sbin/ip6tables
MODPROBE=/sbin/modprobe

IF_LOOPBACK="lo"

IF_INT="eth1"
IP_INT="10.1.1.250"

IF_EXT="eth0"
IP_EXT="XXX.XX.XX.XX"

#IF_DMZ="eth"
#IP_DMZ=""

NET_INT="10.1.1.0/24"


### flush existing rules and set chain policy setting to DROP
echo "[+] Flushing iptables rules..."
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -X
$IPTABLES -X -t nat
$IPTABLES -X -t mangle

### this policy does not handle IPv4 traffic except to drop it.
#
echo "[+] Disabling IPv4 traffic..."
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

### this policy does not handle IPv6 traffic except to drop it.
#
echo "[+] Disabling IPv6 traffic..."
$IP6TABLES -P INPUT DROP
$IP6TABLES -P OUTPUT DROP
$IP6TABLES -P FORWARD DROP

### load connection-tracking modules
#
echo "[+] Loading modules..."
$MODPROBE ip_conntrack
$MODPROBE iptable_nat
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_nat_ftp
$MODPROBE ip_tables
$MODPROBE ipt_LOG
$MODPROBE ipt_REJECT
$MODPROBE ipt_MASQUERADE
$MODPROBE ipt_state
$MODPROBE ipt_multiport
$MODPROBE iptable_mangle
$MODPROBE ipt_limit
$MODPROBE xt_limit
$MODPROBE ipt_mark
$MODPROBE ipt_MARK
$MODPROBE ipt_string
$MODPROBE ip_gre
$MODPROBE ip_nat_pptp
$MODPROBE tun


###### INPUT chain ######
#########################
#
echo "[+] Setting up INPUT chain..."

### [++] state tracking rules
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### [++] ACCEPT rules

### [+++] ssh
$IPTABLES -A INPUT -p tcp -i $IF_INT -s $NET_INT --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IF_EXT --dport 22 -j ACCEPT

### [+++] pptp
$IPTABLES -A INPUT -i $IF_EXT -p tcp --dport 1723 -j ACCEPT
$IPTABLES -A INPUT -i $IF_EXT -p 47 -j ACCEPT
$IPTABLES -A INPUT -i $IF_EXT -p tcp --dport 8443 -j ACCEPT

### [+++] dns
$IPTABLES -A INPUT -i $IF_INT -s $NET_INT -p udp --dport 53 -j ACCEPT

### [++] squid proxy
$IPTABLES -A INPUT -i $IF_INT -p tcp --dport 3128 -s $NET_INT -j ACCEPT

### [++] icmp
$IPTABLES -A INPUT -i $IF_INT -p icmp -s $NET_INT -j ACCEPT

### [++] anti-spoofing rules
$IPTABLES -A INPUT -s 10.0.0.0/8 -i $IF_EXT -j DROP
$IPTABLES -A INPUT -s 127.0.0.0/8 -i $IF_EXT -j DROP
$IPTABLES -A INPUT -s 172.16.0.0/12 -i $IF_EXT -j DROP
$IPTABLES -A INPUT -s 192.168.1.0/16 -i $IF_EXT -j DROP


### [++] state tracking rules
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### [++] ACCEPT rules for allowing connections out

### [+++] pptp
$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 1723 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 8443 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p 47 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 21 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p udp --dport 20 -j ACCEPT


$IPTABLES -A OUTPUT -o $IF_EXT -j ACCEPT

### [++] state tracking rules
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

################################################################################################
# acesso USUARIOS internet pela rede interna
#$IPTABLES -A FORWARD -i $IF_INT -s $NET_INT -o $IF_EXT -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -j LOG

# acesso cesan.com.br
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.18 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.47 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.45 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.43 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 201.77.202.37 -p tcp -j ACCEPT

#acesso www.dataprev.gov.br
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.152.32.178 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.152.40.93 -p tcp -j ACCEPT

# acesso www.previdencia.gov.br
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.152.40.50 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.152.32.144 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.47 -p tcp -j ACCEPT

#sindec
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 201.62.35.202 -p tcp --dport 444 -j ACCEPT

#acesso TAM.com.br
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 23.37.227.11 -p tcp -j ACCEPT


#################################################################################################
#iphone
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

#IPAD
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

#notebook
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX4 -j ACCEPT

# acesso APs internet
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

############
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -p udp --dport 53 -j ACCEPT


### [++] MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $NET_INT -o $IF_EXT -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE

exit




21. Re: Liberar acesso à sites (SCRIPT IPTABLES)

Ricardo Cardoso
ricardo cardoso

(usa Debian)

Enviado em 02/10/2013 - 22:12h

Com iptables -P OUTPUT ACCESS consegue acassar



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts